Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Aktualizacja antywirusowa - dlaczego jest teraz ważniejsza niż kiedykolwiek wcześniej?


W obecnych czasach tempo rozprzestrzeniania się zagrożeń zmieniło się niewyobrażalnie. W "starych, dobrych czasach" szybkość rozprzestrzeniania się wirusa zależała od czynności użytkownika. Wirusy mogły przemieszczać się tak szybko, jak pozwalały na to czynności użytkownika. Sytuacja zmieniła się dramatycznie wraz z pojawieniem się makrowirusów w 1995 r. Szkodniki te mogły zostać przeniesione we wszystkich wiadomościach e-mail wysyłanych przez zainfekowanego użytkownika. Jednak, aby makrowirusy mogły się rozprzestrzeniać, niczego nieświadomy użytkownik musiał wymienić się zainfekowanymi plikami z innymi osobami. Prawdziwa rewolucja w krajobrazie wirusowym dokonała się dopiero z nadejściem robaków. Po ich zadomowieniu się aktualizacja antywirusowych rozwiązań stała się koniecznością.

Wirus Melissa, który pojawił się w marcu 1999 r., stanowił potężny krok naprzód pod względem prędkości infekcji. W przeciwieństwie do innych makrowirusów, które czekały, aż użytkownik prześle zainfekowane dane, Melissa przechwytywała system poczty elektronicznej w celu proaktywnego rozprzestrzeniania się. Udział użytkownika sprowadzał się tylko do dwukrotnego kliknięcia zainfekowanego załącznika wiadomości. Wirus zbierał adresy e-mail z książki adresowej Outlooka i przesyłał się bezpośrednio na zawarte w niej adresy kontaktowe. Dzięki temu "masowemu rozsyłaniu" wirus Melissa mógł rozprzestrzenić się dalej i szybciej niż jakikolwiek wcześniejszy makrowirus. W rezultacie, korporacyjne systemy poczty elektronicznej szybko zapchały się wiadomościami e-mail i wiele z nich po prostu załamało się pod ich ciężarem.

Nie ma więc nic dziwnego, że wirus Melissa wyznaczył pewien trend. Od marca 1999 r. niemal wszystkie główne wirusy i robaki zagrażające użytkownikom korporacyjnym i domowym posiadały zdolność masowego rozsyłania się. Jednak, pojawiły się również inne rozwiązania, które przyczyniły się do szybszego rozprzestrzeniania zagrożeń.

Po pierwsze, coraz więcej zagrożeń wykorzystuje obecnie programy typu exploit, które umożliwiają im przedostanie się do sieci korporacyjnej i szybsze rozprzestrzenianie. Wcześniej, takie metody ataków kojarzone były z działalnością hakerów, a nie twórców wirusów. Stanowi to dość duże odejście od starszej generacji wirusów. Dawniej autorzy wirusów potrzebowali do rozprzestrzeniania tylko własnego kodu, a całą resztę pozostawiali niczego niepodejrzewającym użytkownikom. Stopniowo zaczęli wykorzystywać "pomocną dłoń" w postaci luk w popularnych aplikacjach i systemach operacyjnych. Wirus Melissa był pierwszym zagrożeniem, wykorzystującym lukę w aplikacji - w jego przypadku był to Microsoft Outlook.

Jednak dopiero pojawienie się w 2001 r. wirusów CodeRed i Nimda zapoczątkowało powszechne wykorzystywanie luk przez wirusy i robaki. CodeRed, który pojawił się w lipcu 2001 roku, był robakiem bezplikowym. Działanie robaka odbiegało całkowicie od ustalonych praktyk: istniał tylko w pamięci i nie próbował infekować plików znajdujących się na zainfekowanym komputerze. W celu zaatakowania serwerów Windows 2000 CodeRed wykorzystywał lukę w serwerze Microsoft IIS. Robak rozprzestrzeniał się przez TCP/IP poprzez port 80 i uruchamiał się w pamięci przez przepełnienie bufora pamięci. Następnie w ten sam sposób przesyłał się do innych serwerów posiadających luki.

Niedługo potem, we wrześniu 2001 r., pojawił sie wirus Nimda. Wirus ten infekował pliki, ale w przeciwieństwie do wcześniejszych masowo rozsyłanych zagrożeń, nie wymagał, aby użytkownik kliknął załączony do wiadomości zainfekowany plik EXE. Zamiast tego, do uruchomienia się na systemach wykorzystywał luki w Internet Explorerze. Chociaż luka ta znana była od sześciu miesięcy, wiele systemów nie posiadało łaty i w związku z tym podatne były na atak. Dzięki wykorzystaniu luki wirus Nimda zdołał zainfekować systemy na całym świecie w ciągu zaledwie kilku godzin

Stosowanie programów typu exploit stało się obecnie bardzo powszechne. Niektóre zagrożenia nie stosują w ogóle tradycyjnych technik rozprzestrzeniania wirusów. Lovesan, Welchia i niedawno wykryty Sasser są przykładami czystych i prostych robaków internetowych. Nie są masowo rozsyłane, a użytkownik nie musi uruchamiać zainfekowanego programu. Zamiast tego, zagrożenia te rozprzestrzeniają się bezpośrednio w Internecie, z komputera na komputer, wykorzystując różne luki w systemie.

Inne zagrożenia wykorzystywały zarówno programy typu exploit, jak i inne metody infekcji. Nimda, na przykład, posiadała kilka mechanizmów ataku. Oprócz aspektu masowego rozsyłania, o którym była mowa wcześniej, wirus dołączał exploita do plików HTML. Jeżeli zainfekowany komputer był serwerem, wirus infekował użytkowników poprzez sieć, gdy otwierali zainfekowane strony. W próbach rozprzestrzenienia się w sieci korporacyjnej wirus Nimda posunął się jeszcze dalej: skanował sieć w poszukiwaniu dostępnych zasobów, po czym wysyłał swoje kopie, tak aby mogły być uruchomione przez niczego niepodejrzewających użytkowników. Wirus zmieniał lokalne dyski na otwarte zasoby współdzielone. W ten sposób, osoba posiadająca złe intencje mogła uzyskać zdalny dostęp. Wirus Nimda wykorzystywał również exploit luki *MS00-078 w Microsoft IIS do infekowania serwerów. Dokonywał tego poprzez ściąganie własnej kopii z zainfekowanych wcześniej komputerów w sieci. Wielo-frontowa strategia ataku wirusa Nimda, w połączeniu z wykorzystaniem przez niego luk w systemie, skłoniła wielu specjalistów do określenia tego zagrożenia mianem "złożonego".

Trend ten był kontynuowany. Wiele ze skutecznych obecnie zagrożeń (oczywiście skutecznych z punktu widzenia autorów) wykorzystuje różnorodne mechanizmy ataku oraz luki w systemie, aby obejść udział użytkownika i automatycznie uruchomić kod, dzięki czemu dramatycznie zmniejszył się czas, po jakim nowe zagrożenie osiągały rozmiary epidemii. Nie ma wątpliwości, że dzisiejsze zagrożenia są szybsze niż kiedykolwiek. Podczas gdy dawniej potrzebne były tygodnie, lub nawet miesiące do rozprzestrzenienia się wirusa, obecnie zagrożenia obiegają cały świat w ciągu zaledwie godzin. Wykorzystują do tego powszechnie stosowaną w biznesie infrastrukturę poczty elektronicznej oraz zwiększającą się liczbę luk w systemach. Stanowią one dla nich swoistą trampolinę, za pomocą której przedostają się do sieci korporacyjnych.

Liczba nowych zagrożeń stale wzrasta. Codziennie pojawia się kilkaset nowych zagrożeń. Jak wspomnieliśmy wcześniej, większość dzisiejszych zagrożeń jest "złożonym kłębkiem" składającym się z różnych rodzajów zagrożeń. Twórcy złośliwego kodu mają do swojej dyspozycji szerokie "menu" złośliwych programów. Poza "tradycyjnymi" zagrożeniami ze strony wirusów istnieją obecnie robaki pocztowe i internetowe, trojany i wiele innych rodzajów zagrożeń. Często wirus lub robak instaluje w zainfekowanym systemie backdoora. Dzięki temu, autor wirusa lub robaka, czy też jakakolwiek osoba, która wydzierżawiła trojana, może uzyskać zdalny dostęp do komputera w celu rozsyłania spamu lub w innych szkodliwych celach. Kod może zawierać również downloadera trojanów, który został specjalnie zaprojektowany do ściągania złośliwego kodu ze zdalnej strony - może to być aktualizacja wirusa lub robaka. Poza tym, kod może zawierać procedurę przeprowadzającą atak DoS na poszczególne strony WWW.

Wzrastające tempo ataków zmusiło twórców programów antywirusowych do szybszej reakcji na nowe zagrożenia. W przywoływanych wcześniej "starych, dobrych czasach" aktualizacja kwartalna w zupełności wystarczyła większości klientów. Później standardem stały się aktualizacje co miesiąc. Po ataku robaków Melissa i LoveLetter, większość producentów oprogramowania antywirusowego przeszła na cotygodniową aktualizację definicji wirusów. Obecnie, kilka z nich oferuje aktualizacje codzienne. (Jeden producent, Kaspersky Lab, oferuje aktualizację definicji wirusów co godzinę). Szybkość reakcji została nawet uwzględniona w kilku przeprowadzonych niedawno niezależnych testach programów antywirusowych (AV-Test.org & GEGA IT-Solutions GbR kilka razy w 2004 r. oceniał szybkość reakcji). Mimo to, chociaż definicje wirusów dostępne są szybciej niż kiedykolwiek, wciąż istnieje "poślizg" między pojawieniem się nowego zagrożenia a opracowaniem sposobu zablokowania go. W tym czasie wirusy lub robaki rozprzestrzeniają się niepowstrzymane. Powróćmy jednak do pytań postawionych na początku. Czy produkty antywirusowe mogą poradzić sobie z obecnymi i przyszłymi zagrożeniami? Czy skaner oparty na sygnaturach jest już przestarzały? Czy przyszłość należy do analizy behawioralnej lub innych technologii generycznych? Aby odpowiedzieć na te pytania, musimy przyjrzeć się zaproponowanym alternatywom.

W ciągu minionych lat produkty antywirusowe były coraz bardziej dopracowywane, tak aby mogły poradzić sobie z coraz większą złożonością wirusów, robaków trojanów i innym rodzajem złośliwego kodu. Mowa tu o mechanizmach wykrywania proaktywnego przeznaczonych do znajdywania nowych, nieznanych zagrożeń, zanim jeszcze pojawią się na wolności. Mimo to, regularna aktualizacja ochrony antywirusowej jest teraz ważniejsza niż kiedykolwiek, biorąc pod uwagę szybkość, z jaką rozprzestrzeniają się dzisiaj zagrożenia. Właśnie dlatego producenci programów antywirusowych dążą do jak najczęstszych aktualizacji definicji wirusów. Częstotliwość zwiększyła się z kwartalnych do miesięcznych, następnie do tygodniowych, a nawet dziennych aktualizacji. Firma Kaspersky Lab zapewnia obecnie aktualizacje baz danych co godzinę.